校園網路流量監測 與 系統異常檢測.

Presentation on theme: "校園網路流量監測 與 系統異常檢測."— Presentation transcript:

1 校園網路流量監測 與 系統異常檢測

2 監測系統 Ping 網路服務偵測系統 MRTG NetFlow LikeScan http://ping.tn.edu.tw
MRTG NetFlow LikeScan

3 PING 學校www主機連通率區分為三種情況： 100% 、 90% 、 80%以下 ；分別以 綠色 、黃色 、 紅色 表示。

4 PING 狀況1:跳電、系統更新 網路斷線、DNS、 防火牆 狀況2:區域網路異常 狀況3:系統更新、 駭客攻擊、區網異常

5 網路服務偵測

6 TANET 網路維運中心

7 MRTG 狀況1:電腦中毒 僵屍電腦 狀況2:mail無法 寄出 狀況3:駭客入侵 狀況4:LOOP

8 NetFlow 當天7時、9時、12時、15時統計一次

9 NetFlow 流量統計 學校流出到TANET前100名統計

10 MailVirus 每日統計一次 監測SMTP協定

11 如何看懂 likeScan ? 網址 http://netflow.tn.edu.tw/likeScan/down.html
記錄每10分鐘 (主機:port)依flows數排出前100名 共有6組數字，分別用” . ”區隔( 例: ) 前4組為IP位置 第5組為協定 6:TCP , 17: UDP 第6組80為HTTP ( 21:FTP,25:SMTP,53:DNS,445…) 目標主機:代表不同主機數 FLOW:代表一次的行為 PACKETS : 封包數 Bytes：封包大小 ※ 分鐘內向1301台主機寄了4892次的信，很明顯超出正常合理行為，判定為異常。

12 LikeScan 統計各IP和PORT連線狀態
※ 分鐘內透過TCP 445 對 282台主機做了282次的連線，Packets和Bytes數也不大。 這樣的狀況大都是主機存在病毒，且透過TCP 445 做Scan行為，試途去感染其它電腦。

13 ESET SysInspector 軟體名稱: ESET SysInspector(NOD32免費系統檢測軟體) 官方網站 、 軟體下載
官方網站 、 軟體下載 ESET SysInspector 是一個分析電腦作業系統、處理程序、登錄檔和網路連接的免費應用程式。 藉由ESET SysInspector匯出 的記錄檔，把電腦中所收集 　到的系統數據和資料傳送給 　專業人員分析和威脅評估 。

14 案例分析 163.26.57.45在likeScan上看到有異常的TCP 445連線行為
使用ESET SysInspector對該電腦進行分析

15 VirSCAN 線上掃毒服務 網址:http://www.virscan.org/ 整合「37個防毒軟體」的線上掃毒服務！
相類似網站

16 ThreatExpert 病毒、木馬、蠕蟲…「行為分析」檢測工具
網址 submit.aspx

17 結語 每日至少能觀察學校流量狀況一次。 每日至少能觀察學校連通狀況一次。 電腦異常時處理步驟 請將有問題的電腦離線，阻止災害持續擴大。
使用工具軟體找尋可疑的程式和病毒並移除。 更新作業系統、病毒碼與相關應用程式至最新版本。 若問題還是存在，則重新安裝作業系統。